규칙 다이제스트: 트로이목마, 사이버 스파이 및 RATicate 그룹

이번 주 다이제스트에는 참가자가 독점적으로 개발한 규칙이 포함되어 있습니다 위협 보상 프로그램.

뒤에 있는 위협 행위자 최근 Ursnif 변종 은 여전히 진행 중인 표적 사이버 범죄 작전을 수행할 가능성이 있습니다. 이러한 캠페인의 핵심은 Ursnif 트로이목마의 변종으로, 행위자의 특별한 필요에 맞춰 다운로드 및 정찰 도구로 재사용되었습니다. 이 행위자가 사용한 기술, 예를 들어 LOLBins, 강력한 난독화, COM 인터페이스 및 포스트 익스플로이테이션 프레임워크(Cobalt Strike)와 VNC 클라이언트(TeamViewer)을 활용하는 것과 같은 관찰된 TTP는 이 행위자가 표적 공격에 관여하고 있음을 시사합니다. 공격은 몇 달간 계속되었지만 큰 주목을 받지 못했습니다. Ursnif 기반의 표적 캠페인 LOLSniff Emir Erdogan의 규칙이 이 트로이목마의 활동을 발견하여 공격 초기 단계에서 이를 중단하도록 도와줍니다: https://tdm.socprime.com/tdm/info/OWYy5tF4Yis6/PCE5LXIBjwDfaYjKqJBf/?p=1

ESET 연구원들이 발견한 이전에는 보고되지 않은 사이버 스파이 프레임워크는 그들이 Ramsay라 명명했으며, 민감한 문서의 수집 및 유출에 특화되어 있으며 독립적인 네트워크 내에서도 작동할 수 있습니다. 연구원들은 세 가지 다른 버전의 악성코드를 추적했으며, 각 버전은 다르고 다른 방법으로 피해자를 감염시켰지만, 이 악성코드의 핵심적인 역할은 감염된 시스템을 스캔하고 Word, PDF, ZIP 문서를 숨겨진 저장 폴더에 수집하여 나중에 유출할 준비를 하는 것입니다. 다른 버전에는 램세이 악성코드를 이동식 드라이브와 네트워크 공유에서 찾은 모든 PE(이식 가능한 실행) 파일에 추가하는 전파 모듈도 포함되어 있습니다. 이는 사용자가 감염된 실행 파일을 회사의 다른 네트워크 계층 간에 이동시키면서 격리된 시스템에 도달하는 악성코드가 공중 격리 환경을 뛰어넘기 위해 사용한 메커니즘이라고 여겨집니다. Ariel Millahuel이 Ramsay 악성코드 행위를 탐지하기 위한 커뮤니티 위협 헌팅 규칙을 개발했습니다: https://tdm.socprime.com/tdm/info/WZnAdFuEiaVX/vyE1J3IBjwDfaYjKtYkQ/?p=1

Sakula RAT 은 Ariel Millahuel이 발표한 두 번째 커뮤니티 위협 헌팅 규칙입니다. Sakula RAT(사쿠렐 및 VIPER로도 알려져 있음)는 2012년 11월 처음으로 모습을 드러냈으며, 대적자가 상호작용 명령을 실행하고 추가 구성 요소를 다운로드 및 실행할 수 있게 합니다. Sakula는 명령 및 제어(C2)를 위해 HTTP GET 및 POST 통신을 사용합니다. 네트워크 통신은 단일 바이트 XOR 인코딩으로 난독화됩니다. Sakula는 또한 리소스 섹션에 포함된 다양한 문자열 및 파일을 난독화하기 위해 단일 바이트 XOR 인코딩을 사용하여 이들이 사용자 계정 컨트롤(UAC)을 우회하도록 하며, 32비트 및 64비트 시스템 모두에서 작동할 수 있습니다. 대부분의 샘플은 레지스트리 Run 키를 통해 지속성을 유지하지만, 일부 샘플은 서비스를 설정합니다. 규칙에 대한 링크: https://tdm.socprime.com/tdm/info/dZ0LlEq1KcRv/1-aMMXIBv8lhbg_iM9Qo/?p=1

오늘 다이제스트의 마지막으로 Ariel의 규칙은 RATicate 그룹의 행위를 다룹니다. Sophos의 보안 연구원들은 NSIS 설치 프로그램을 악용하여 원격 액세스 트로이목마와 정보 절도 악성코드를 산업 기업들을 타겟으로 하는 공격에 배치한 해킹 그룹을 식별했습니다. 그들은 RATicate의 공격이 유럽, 중동 및 대한민국의 산업 기업을 대상으로 한 5개의 개별 캠페인의 일부이며, 연구원들은 과거에도 유사한 캠페인을 RATicate가 배후에 있었다고 의심하고 있습니다. 이러한 캠페인들은 제조업체에 집중된 회사부터 투자 회사와 인터넷 회사까지 다양한 종류의 산업 분야의 엔티티를 대상으로 했습니다. 이곳에서 규칙을 다운로드할 수 있습니다 RATicate 그룹의 행위 를 보안 솔루션에 사용하시기 바랍니다: https://tdm.socprime.com/tdm/info/ctvl1GjnfAFH/FyHCNnIBjwDfaYjKe5fQ/?p=1

우리는 오늘 커뮤니티 규칙과 함께 Sreeman이 최근 발견된 Danabot 샘플을 탐지하기 위해 설계한 규칙으로 다이제스트를 마무리합니다. 2018년 5월 처음 탐지된 DanaBot은 강력한 뱅킹 트로이목마 로, 역사적으로 북미, 호주, 유럽의 금융 서비스 기관에 집중해왔습니다. 이 악성코드는 처음 탐지된 이후 빠르게 성장했으며, 주로 모듈화 및 배포 방법 덕분입니다. Zeus 뱅킹 트로이목마와 유사하게 DanaBot은 전술과 우선순위를 크게 변화시킬 수 있는 플러그앤플레이 모듈로 유명합니다. DanaBot은 모듈과 개선사항으로 공격자들에게 전 세계적으로 강력한 사이버 공격 도구를 제공합니다. 이 악성코드가 뱅킹 트로이목마 장면에 등장한 이후로, 이 트로이목마는 어디를 가든지 심각한 피해를 입히고 있습니다. 규칙 확인: https://tdm.socprime.com/tdm/info/8MnRbno0JNH8/MowrGHIB1-hfOQirhDbo/

이 컬렉션의 규칙은 다음 플랫폼에 대한 번역이 포함되어 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술: 방어 회피, 실행, 지속성, 권한 상승, 디스커버리

기법: Regsvr32 (T1117), Rundll32 (T1085), 소프트웨어 패킹 (T1027.002), 스크립팅 (T1064), 명령 줄 인터페이스 (T1059), 레지스트리 실행 키 / 시작 폴더 (T1060), 프로세스 인젝션 (1055), 루트 인증서 설치 (T1130), 레지스트리 수정 (T1112), 레지스트리 쿼리 (T1012)

우리의 이전 다이제스트 링크: https://socprime.com/en/blog/rule-digest-rce-cve-oilrig-and-more/

다음 주에 뵙겠습니다.